Le juste équilibre entre les risques liés à la confidentialité et ceux liés à l'activité
La préservation de la confidentialité des données personnelles et la sécurisation des ressources de l'entreprise sont les des principaux objectifs du programme de cybersécurité d'une entreprise. Dans un article précédent, nous avons évoqué la notion d'équilibre entre ces objectifs et la valeur que peut apporter une stratégie de sécurité axée sur la confidentialité.
Dans cet article, nous allons étudier les risques et les coûts engendrés par l'absence d'investissement dans la sécurité, ainsi que la manière dont les responsables de la sécurité et de la confidentialité peuvent être des partenaires influents pour convaincre leurs entreprises de l'importance de l'investissement dans la sécurité. Lorsque les responsables de la sécurité et de la confidentialité travaillent ensemble, ils peuvent trouver les bons outils de sécurité pour protéger une organisation contre les risques de violations de données et prendre des décisions éclairées concernant les solutions qui conviennent le mieux à leur activité.
Où se place le véritable préjudice ?
Idéalement, les responsables de la sécurité et de la confidentialité d'une entreprise devraient travailler en étroite collaboration. La meilleure façon de garantir la confidentialité des données des clients et de l'entreprise consiste à mettre en place un programme efficace de sécurité des données.
Les responsables de la confidentialité reconnaissent la valeur des mesures de sécurité pour protéger les données clients. Dans certains cas, toutefois, il peut être difficile pour un responsable de la sécurité de vendre à un responsable de la confidentialité les avantages de certaines technologies de sécurité. Sans une totale compréhension du fonctionnement d'une solution de sécurité et de son objectif, il est possible d'imaginer qu'elle puisse représenter un risque pour la confidentialité des données. Par exemple, un responsable de la confidentialité peut émettre des réserves lorsque son responsable de la sécurité propose d'avoir recours à un outil de sécurité des e-mails qui analyserait tous les e-mails d'une entreprise afin de déjouer les tentatives de phishing, ou encore d'utiliser une passerelle web sécurisée permettant à l'équipe informatique d'une entreprise de voir les sites web consultés par les employés sur leur ordinateur de travail tandis qu'elle s'efforce d'empêcher les employés d'accéder à des sites web hébergeant des logiciels malveillants.
Lorsqu'il s'agit d'investissements dans la sécurité pour un réseau d'entreprise, il convient de s'interroger sur ce qu'est le véritable préjudice pour la confidentialité que les entreprises cherchent à éviter. Le responsable de la confidentialité d'une entreprise doit évaluer le préjudice qu'une machine fait subir aux employés de l'entreprise tandis qu'elle se contente d'analyser les e-mails de l'entreprise pour dire « Oui, bien » ou « Non, mal » par rapport au préjudice que pourrait subir l'entreprise en l'absence de telles protections de sécurité. Si ces protections ne sont pas mises en place, un employé peut facilement être victime d'une exploitation de type phishing à l'issue de laquelle un acteur malveillant serait en capacité d'utiliser les informations d'identification de l'employé pour accéder aux systèmes internes et extraire les données personnelles sensibles des clients de l'entreprise.
À mon avis, il est essentiel d'avoir une idée très précise de ce qui constitue le plus grand risque pour votre entreprise en matière d'atteintes à la confidentialité, c'est ce qui garantit l'efficacité de la sécurité axée sur la confidentialité que vous mettez en place. Dans de nombreux cas, les avantages liés à l'investissement dans la sécurité l'emportent sur les coûts potentiels. Dans l'exemple ci-dessus, il convient de noter que dans la plupart des juridictions à travers le monde, la protection de la confidentialité des e-mails que les collaborateurs envoient au système d'une entreprise est assez négligeable. Mais en cas d'exfiltration des données personnelles des clients d'une entreprise, une entreprise peut se retrouver confrontée à des obligations de notification de violation de données, à des sanctions réglementaires et à des dommages contractuels.
L'insuffisance d'investissement dans la sécurité a un coût
Les solutions de cybersécurité pour entreprises sont conçues pour répondre à différentes menaces visant une entreprise. Le risque de violation de données, dont le coût moyen s'élevait à 4,45 millions de dollars en 2023, constitue une menace courante. Ce chiffre ne tient pas compte de l'atteinte à la réputation des entreprises victimes des violations ni de l'incidence que cela peut avoir sur les clients dont les données ont été divulguées.
Nous ne pouvons pas connaître le nombre exact de violations de données qu'une entreprise non protégée pourrait subir au cours d'une année donnée, mais il est possible de donner des estimations. Pour prendre un exemple, 85 % des entreprises ont subi au moins une attaque par rançongiciel au cours de l'année passée et 24 % des violations de données sont causées par des rançongiciels. Cela signifie qu'il y a de fortes chances qu'une entreprise subisse à la fois une attaque par rançongiciel et des violations de données non liées à un rançongiciel au cours d'une année.
Certes, il ne s'agit que d'une estimation approximative, cela démontre toutefois que le coût annuel potentiel pour une entreprise dont la protection est insuffisante se compte probablement en dizaines de millions, voire plus. À cela s'ajoutent les répercussions potentielles des incidents liés à la cybersécurité sur les clients d'une entreprise qui elles sont incalculables. En examinant plus en détail les principales violations de données, vous découvrirez rapidement que la plupart ont été possibles en raison d'un certain nombre de problèmes de sécurité fondamentaux. Des mots de passe faibles, des certificats expirés et d'autres failles de sécurité de base sont souvent à l'origine d'incidents de sécurité majeurs. Les solutions de cybersécurité qui permettent d'atténuer ces risques et de se protéger contre les types de failles de sécurité les plus courants, tels que l'anti-logiciel malveillant,l'analyse des e-mails et le contrôle des accès Zero Trust, offrent des avantages potentiels considérables pour l'entreprise et ses clients.
Réduire les risques en investissant dans des systèmes de sécurité multicouche
Dans de nombreux cas, les avantages d'une nouvelle solution de sécurité sont évidents : elle permet une certaine réduction du risque de cyberattaque. La prévention d'une seule cyberattaque peut permettre à une entreprise de réaliser d'importantes économies. Il suffit de faire le calcul, si le coût annuel d'une solution de cybersécurité est inférieur aux économies escomptées, alors l'investissement en vaut la peine.
Cependant, il est important d'investir dans le bon fournisseur de sécurité. Chaque fois qu'un fournisseur a accès aux systèmes et aux données d'une entreprise, cette entreprise doit évaluer si les mesures de sécurité du fournisseur sont suffisantes. Plusieurs exemples en témoignent, il est arrivé que des fournisseurs de solutions de sécurité soient victimes de cyberattaques ce qui a par conséquent exposé les systèmes et les données de leurs clients des risques.
Les récentes violations de données d'Okta sont un excellent exemple des répercussions qu'une violation d'un fournisseur de sécurité peut avoir sur ses clients. De nombreuses organisations utilisent Okta comme fournisseur d'identité pour mettre en œuvre l'authentification unique (SSO). En ayant accès à l'environnement d'Okta, un acteur malveillant peut potentiellement accéder aux comptes d'utilisateurs des clients Okta. Si ces clients ne disposent pas de couches supplémentaires de protection des accès, ils risquent d'être vulnérables aux acteurs malveillants qui sont susceptibles de voler des données, d'installer des logiciels malveillants ou d'effectuer d'autres actions malveillantes.
Lors de l'évaluation des risques pour la confidentialité que pourraient engendrer les investissements dans la sécurité, il est important d'intéresser aux antécédents de l'entreprise en matière de sécurité et à son historique de certification. Par exemple, en 2020, seules 43,4 % des entreprises affichaient une conformité PCI-DSS totale lors d'une évaluation à mi-parcours, ce qui indique que les contrôles de sécurité pouvaient passer d'un audit à un autre.
Parallèlement, les entreprises qui recherchent activement des certifications facultatives, telles que ISO 27001 et 27018, SOC 2 et d'autres, sont moins susceptibles de présenter ces lacunes en matière de sécurité qui les mettraient en danger, elles et leurs clients. Cloudflare veille à rester en conformité avec les certifications obligatoires et facultatives, et s'est soumise à des audits indépendants de son résolveur DNS (1.1.1.1) pour lequel il n'existe aucune certification applicable. Cloudflare s'appuie également sur des technologies de sécurité telles que le chiffrement de bout en bout, la régionalisation des données et la gestion Zero Trust des accès pour optimiser la confidentialité des utilisateurs et se conformer aux exigences uniques des législations et réglementations locales en matière de confidentialité des données.
Mettre en balance les risques et les avantages
Si le retour sur investissement des sommes engagées dans la sécurité est parfois difficile à calculer, les risques et les avantages quant à eux sont manifestes. Avec des pratiques de cybersécurité peu performantes, une entreprise est presque certaine de subir une violation de données dans un avenir plus proche que lointain. La seule inconnue réside dans l'ampleur des pertes en dollars, de l'atteinte aux réputations et des préjudices en aval pour les personnes qui ont fait confiance à l'entreprise pour leurs données personnelles .
Investir dans la sécurité est presque toujours une bonne idée du point de vue de la confidentialité des données et de la gestion des risques. Tout ce qui permet de réduire les risques pour la confidentialité par des investissements dans la sécurité se traduira toujours par des avantages potentiellement plus importants en matière de protection de la confidentialité. Les responsables de la sécurité et de la confidentialité peuvent non seulement apporter la preuve de coûteuses violations de données personnelles et d'atteintes à la sécurité, mais lorsqu'ils réclament des investissements supplémentaires dans la sécurité, ils peuvent également faire pencher la balance en leur faveur en recherchant des solutions dont l'historique est positif en matière de sécurité, de confidentialité, et de conformité.
La sécurité axée la sur confidentialité est un principe fondamental de la philosophie de Cloudflare. Notre Centre de confiance reflète notre engagement à garantir autant de sécurité et de transparence que possible en allant un peu plus loin dans la démonstration de notre conformité à l'ensemble des réglementations et normes applicables. Nos produits sont conçus pour tirer parti de notre visibilité unique sur le panorama des cybermenaces et des dernières technologies en matière de sécurité afin d'identifier les menaces potentielles, tout en limitant au strict minimum l'accès aux données sensibles. Simplifiez et garantissez la sécurité sur tous les fronts grâce à Cloudflare.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.
Approfondir le sujet
Découvrez comment Cloudflare parvient à mettre en place une protection des données plus efficace, plus productive et plus agile grâce à notre présentation Protection unifiée pour les données, partout dans le monde .
Auteur
Emily Hancock – @emilyhancock
Chief Privacy Officer, Cloudflare
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
L'importance de la collaboration entrela sécurité et la confidentialité
Le coût d'une insuffisance d'investissement dans la sécurité
Les avantages d'un programme de sécurité axée sur la confidentialité
Ressources associées :
Protection des données | Atténuer les risques et renforcer la conformité
Centre de confiance : confidentialité et protection des données